安全深度解读《关键信息基础设施安全保护条例》

Cassie7

安全深度解读《关键信息基础设施安全保护条例》

政策原文：中华人民共和国国务院令 第745号

时间：2021-08-19

2021年7月30日，国务院总理李克强签署中华人民共和国国务院令第745号：《关键信息基础设施安全保护条例》（以下简称《条例》），该《条例》于8月17日正式发布，自2021年9月1日起施行。

关键信息基础设施是数字化社会运行的神经中枢，是网络安全保障的重中之重。当前，关键信息基础设施面临的严峻的安全形势，网络攻击威胁事件频发。

在此情况下，制定出台《条例》，建立专门的关基信息基础设施（以下简称“关基”）的保护制度，明确各方责任，提出保障促进措施，有利于进一步提升我国网络空间安全保障的整体水平。这是自1994年国务院令第174号令：《中华人民共和国计算机信息系统安全保护条例》之后，又一网络安全领域的重要法规。

《关键信息基础设施安全保护条例》总体框架

《条例》出台意义重大

（一）关基信息基础设施的保护是世界各国网络空间博弈的重要战场

近期，世界多个国家的基础设施和重要的信息系统遭受网络攻击，如：燃油管道被攻击、电网断电、域名解析服务器中断服务、银行核心系统被攻击等事件，因此，世界各国均将关基信息基础设施作为网络安全保障的重点环节，世界各发达国家也均出台了关基保护相关的法律、法规和文件。关基信息基础设施的渗透和保护，也是世界各国网络空间博弈的重要战场。

（二）《条例》是《网络安全法》的重要配套法规

2017年6月1日施行的《网络安全法》的第三十一条，明确规定“关基信息基础设施在网络安全等级保护制度的基础上，实行重点保护”，此次《条例》的出台，立足工作落实，界定了关基范围、职责分工、监督管理部门职责、保护工作部门职责、关基风险评估要求等关基安全保护要求和保障措施，确保对象具体、权责清晰、任务明确，为关基保护工作提供了指引和工作依据，将为我国深入开展关基保护工作提供有力的法治保障。

（三）《条例》是关基保护工作实施的重要依据

《条例》站在总体国家观的视角，指明了关基保护的工作方向：一是明晰了关基的定义和范围，为后续关基保护工作的开展奠定基础，二是明确了保护工作部门的职责，将重要行业和领域的主管部门、监督管理部门划定为关基安全保护工作的部门。三是强化了关基运营者的责任义务，明确了运营者主要负责人负总责，切实保障人财物的投入。四是规定了国家保障和促进措施，《条例》从国家及行业监测预警制度建立、行业检查、标准制定、技术创业、产业发展、军民融合、人才培养、表彰奖励等8个方面提出了促进措施。五是确立了监督管理体制。

关基安全保护相关方角色

《条例》重点内容解读

（一） 明确关键信息基础设施范围和保护工作原则目标

《条例》明确阐述了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统属于关键信息基础设施，国家对关键信息基础设施实行重点保护，保护工作应当坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。

（二） 《条例》明确了监督管理体制

《条例》规定，在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照《条例》和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

关基保护的监督管理体制

（三） 完善了关键信息基础设施认定机制

《条例》明确了认定工作的组织方式和认定程序，依照行业认定规则，国家汇总并动态调整关键信息基础设施认定结果，确保重要网络设施、信息系统纳入保护范围。

（四） 明确运营者责任义务

《条例》对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等作了规定。

（五） 明确了保障和促进措施

《条例》对制定行业安全保护规划、建立信息共享机制、建立健全监测预警制度、明确网络安全事件应急处置要求、组织安全检查检测、提供技术支持和协助等作了规定。

（六） 明确了法律责任

《条例》对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况，明确了处罚、处分、追究刑事责任等处理措施。对实施非法侵入、干扰、破坏关键信息基础设施，危害其安全活动的组织和个人，依法予以处罚。

《条例》目前已经正式发布，自2021年9月1日起施行。随着《条例》的出台，国家关基安全监督管理部门应该会颁布配套实施指南和实施细则。关基保护工作部门会组织开展本行业关基的识别和认定，并开展行业关基应急演练、风险评估、安全事件的预警通报等工作。关基运营者也会开展本单位的关基技术体系、管理体系、运营体系建设，切实履行《条例》的要求。